Hinweis vom 5. März: BIG-IP iControl REST- und tmsh-Schwachstelle [CVE-2025-20029]
Teilen Sie
Datum der Offenlegung (Quelle): 5. Februar 2025 (PoC zur Verfügung gestellt am 23. Februar 2025)
CVE-2025-20029 ist eine hochgradige Sicherheitslücke, die die iControl REST-Schnittstelle und TMOS-Shell (tmsh) des BIG-IP-Systems von F5 mit einem CVSS-Score von 8.7. Bei erfolgreicher Ausnutzung kann ein authentifizierter Angreifer beliebige Systembefehle ausführen, was zu einem Zugriff auf die BIG-IP-Plattform auf Root-Ebene führen kann.
Derzeit gibt es keine Hinweise darauf, dass diese Sicherheitslücke aktiv ausgenutzt wird. Es wurde jedoch ein öffentlich zugänglicher Proof of Concept (PoC) veröffentlicht hier auf GitHub veröffentlicht, was die Wahrscheinlichkeit erhöht, dass diese Schwachstelle in Zukunft von Angreifern ausgenutzt werden könnte.
Der oben gezeigte PoC demonstriert, wie ein Angreifer, der sich als Konto mit geringen Rechten authentifiziert (z. B., Prüfer Rolle), beliebige Systembefehle als 'root' Benutzer ausführen kann. Der Exploit nutzt tmsh Befehle, wie z.B. speicherndie dann mit erweiterten Rechten ausgeführt werden können, die es einem Angreifer ermöglichen, Änderungen am zugrunde liegenden System vorzunehmen.
Diese Sicherheitslücke wurde von F5 durch mehrere Versionsveröffentlichungen gepatcht. Darüber hinaus enthält der Hersteller Empfehlung empfiehlt der Hersteller außerdem, dass Benutzer die Implementierung einer oder mehrerer der folgenden Maßnahmen zur Sicherung des Zugriffs auf die iControl REST Schnittstelle und der tmsh:
- Sperrung des iControl REST-Zugriffs über die Verwaltungsschnittstelle für vertrauenswürdige Benutzer
- Einschränkung des Zugriffs auf die BIG-IP-Befehlszeile über SSH
- SSH-Zugang über eigene IP-Adressen blockieren
- Sperren des SSH-Zugriffs über die Verwaltungsschnittstelle
| Feld | Einzelheiten | |||||
|---|---|---|---|---|---|---|
| CVE-ID | CVE-2025-20029 - CVSS 8.7 (hoch) - zugewiesen von F5 Networks | |||||
| Schwachstelle Beschreibung | Eine Befehlsinjektionsschwachstelle in allen Modulen der BIG-IP-Plattform von F5, die auf die iControl REST-Schnittstelle und tmsh Komponenten betrifft. Ein Benutzer mit geringen Rechten kann Befehle nutzen, um Einschränkungen zu umgehen, beliebige Befehle einzuschleusen und Aktionen als "Root"-Benutzer des Zielsystems durchzuführen. | |||||
| Datum der Offenlegung | 5. Februar 2025 (PoC veröffentlicht am 23. Februar 2025) | |||||
| Betroffene Vermögenswerte | iControl REST-Schnittstelle und tmsh Komponenten der F5 BIG-IP Platform (alle Module). | |||||
| Anfällige Software-Versionen | Die folgenden Versionen von F5 BIG-IP (alle Module) sind betroffen:
|
|||||
| PoC verfügbar? | Ein PoC ist öffentlich verfügbar hier. | |||||
| Verwertungsstatus | Zum Zeitpunkt der Erstellung dieses Artikels war diese Schwachstelle weder in der CISA-Liste der bekannten Sicherheitslücken noch in GreyNoise zu finden. | |||||
| Patch-Status | F5 Networks hat in jeder der folgenden Versionen einen Fix eingeführt:
|
|||||
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 1,124 (ohne virtuelle Hosts) exponierte Instanzen des F5 BIG-IP Configuration Utility, 30% davon sind in den Vereinigten Staaten angesiedelt. Beachten Sie, dass nicht alle beobachteten Instanzen anfällig sind, da wir keine spezifischen Versionen zur Verfügung haben.
Außerdem haben wir festgestellt, dass 437,204 Geräte BIG-IP für den Lastausgleich und andere modulare Dienste, die von der BIG-IP-Plattform bereitgestellt werden, zu nutzen scheinen. Diese Geräte wurden anhand von Sitzungs-Cookies in den Antwort-Headern, die auf die BIG-IP-Nutzung hinweisen, mit BIG-IP in Verbindung gebracht. Diese Geräte sind jedoch nicht zwangsläufig von der Schwachstelle betroffen, da BIG-IP häufig als Proxy zwischen Client und Server fungiert.
Karte der exponierten F5 BIG-IP Configuration Utilities-Instanzen:
services.software: (vendor= "F5" and product: "IP Configuration Utility") and not labels: {honeypot, tarpit}
host.services.software: (vendor: "F5" and product: "IP Configuration Utility") and not host.labels.value: {"HONEYPOT", "TARPIT"}
host.services.software: (vendor= "F5" and product: "IP Configuration Utility") and not host.labels: {honeypot, tarpit}
